
Beveiliging complex? Begin eens met een wachtwoord
We maken ons zorgen om hackers met de opkomst van het Internet of Things, maar beveiliging ontbeert vaak al een simpele drempel.
We maken ons zorgen om hackers met de opkomst van het Internet of Things, maar beveiliging ontbeert vaak al een simpele drempel: een wachtwoord.

Beveiliging complex? Begin eens met een wachtwoord
We maken ons zorgen om hackers met de opkomst van het Internet of Things, maar beveiliging ontbeert vaak al een simpele drempel: een wachtwoord.
Dit is helaas niets nieuws voor mensen die in de beveiliging werken, maar het blijft schokkend: de BBC onderzocht de beveiliging van een smart home vol met apparaten die waren verbonden met internet: IoT-apparaten als een fornuis met netwerkverbinding, een stopcontact, babyfoon, webcam, Blu-ray-speler en Sonos-speaker, om er een paar te noemen. Ze bleken stuk voor stuk een beveiligingsramp in spe.
Een voorbeeldje: een van de BBC-pentesters ontdekte een draadloze babyfoon, installeerde een commercieel beschikbare applicatie en had vervolgens een afluisterapparaat. De smart home was zo om te toveren in een waar spookhuis. "We kunnen de Blu-ray-speler overnemen, de televisie aanzetten, met de lichten knipperen en enge muziek afspelen in het huis." Dankzij beveiligingsissues in de aanmeldingsprocedure van de BMW i3-app, konden ze zelfs de auto stelen.
Kritike infrastructuren brak; thuis al helemaal
Beveiligingsdeskundige Felix Ingram van de NCC Group vertelde dat zijn team diverse UpnP-kwetsbaarheden benutte om de apparaten over te nemen. "Mensen zijn het meest bezorgd over de microfoon op de smart-tv. We kunnen daarmee een huiskamer afluisteren. Consumenten schrikken van IoT zodra blijkt dat er veel meer mogelijk is dan waar ze rekening mee hebben gehouden."
We hebben het hier vaak gehad over kritieke infrastructuren, of gaten in SCADA-systemen en vaak zijn de lekken in IT-systemen verontrustend en gevaarlijk. Veel van deze issues doen zich ook voor op 'slimme' apparaten in huis. Echte geeks zullen IoT-gadgets natuurlijk gewoon gebruiken - ik zelf trouwens ook - ondanks het scala aan security-issues. Maar ze kunnen in elk geval het standaardaccount wijzigen.
Hacks gebeuren erg vaak
En toch stellen veel mensen niet eens een wachtwoord in bij een VNC-programma die remote toegang regelt. Als IT'ers VNC configureren voor een bedrijfsomgeving en daar geen wachtwoord voor instellen, zouden ze ontslagen moeten worden! VNC is zo makkelijk te vinden met een simpele scan dat je het indringers wel erg makkelijk maakt om een systeem te grazen te nemen.
In tegenstelling tot Microsofts propriëtaire RDP, is VNC platform-agnostisch. Wees uiteraard nauwkeurig als je VNC configureert, want als je de remote desktop niet afdoende beveiligt, kan een kwaadwillende persoon je bestanden 'delen' en screenshots nemen van je bureaublad. Dit gebeurt. Vaak. Eng voorbeeld: op beveiligingscongres Defcon deze maand lieten onderzoekers Robert Graham, Paul McMillan en Dan Tentler tijdens hun presentatie van een uur een internetscan lopen en ze vonden in die tijd 30.000 pc's op poort 5900 die onbeveiligde VNC draaiden.
Geen hack: direct verbonden
Dat is niet illegaal, legde Tentler uit toen mensen boos waren dat hij screenshots op Twitter plaatste. "Yahoo, Google, Microsoft, Websense, ELKE ANTIVIRUSLEVERANCIER TER WERELD en Shodan voeren dezelfde scans uit. Sommige organisaties houden de resultaten geheim, andere verkopen ze en weer andere bedrijven publiceren ze. "Dit was en geautomatiseerde scan die een screenshot maakte zodra er verbonden werd met een VNC-programma."
Ze waren niet aan het hacken - zoeken naar kwetsbaarheden - en logden niet in. "Door de term 'inloggen' te gebruiken lijkt het alsof de dienst vraagt om autorisatie. Niets is minder waar. Niemand logde in - dit waren open VNC-verbindingen die dus niet om wachtwoorden vroegen. Je verwijst een VNC-client naar een IP-adres en bam - je ziet een GUI."
Echt óveral toegang
Sommige mensen waren ze boos dat ze de zaak rapporteerden aan US-CERT. Collega Robert Graham wees er vervolgens op dat "US-CERT en het ministerie van Homeland Security zelf kwetsbaarheden gebruiken om hun budget te rechtvaardigen - ze zullen niets doen aan het daadwerkelijke aanpakken van deze kwetsbaarheden."
Dus wat ontdekten ze? Olie- en gasbronnen, een waterzuiveringsinstallatie, een donut-producent, een waterkrachtcentrale, een CERN-host, SCADA en ICS-systemen, zoals "Japanse, Italiaanse, Litouwse en Oekraïense stroomcentrales". Ze hadden screenshots van medische apparatuur, zoals röntgenapparaten, een ziekenhuisbed dat een patiënt monitorde, een apotheek, een kassasysteem in een restaurant, een hotel, videobewaking, een supermarkt, een beurshandelaar en zelfs een sauna.
Goede hackers, slechte hackers
Dit is nog maar het topje van de ijsberg, want er waren ook mensen op social media-sites, die porno of andere films keken, aan het gamen waren en meer. Ironisch genoeg waren er ook screenshots van scriptkiddies de probeerden te hacken.
Er is niets nieuws aan het scannen van het internet, maar als je screenshots van van alles zoekt, valt er een heleboel voor je te winnen. Sterker nog, mensen zijn hier volop mee bezig en laten boodschappen achter op pc's als "je bent gehackt". Forbes schrijft dat er ergens een goedaardige hacker een boodschap achterliet met: "Het is misschien een goed idee om een wachtwoord te zetten op je VNC-software" met een link naar Google-resultaten eronder over hoe dat moet.
Tentler tweette geen screenshots van organisaties die daarop gehackt konden worden, maar vond wel controlesystemen voor "water, energie, agricultuur en laboratorium-apparatuur", alsmede "universiteiten, banken, apotheken, getekende cheques, en een heleboel persoonlijke data". Andere mensen die het internet afscannen hebben wellicht minder goede bedoelingen, dus als je VNC-software gebruikt, zet daar dan alsjeblieft een sterk wachtwoord op.
Reageer
Preview